NIS2: Vad händer i Sverige?

Daniel Andersson Senior Information Security Consultant, Cegal Sweden. Daniel har lång erfarenhet inom informationssäkerhet och är Certified Information Security Manager (CISM) samt certifierad Cybersecurity Practitioner (CSX-P). Med bakgrund inom både teknik och ledarskap har Daniel en bred syn på dagens utmaningar och dess olika lösningar.

11/30/2023 |

Vi närmar oss oktober 2024 när vi måste leva upp till kraven i NIS2, hur kan du redan nu förbereda dig för det som komma skall?

Nu när vi börjar närma oss slutet på 2023 är det tid att summera vad som händer inom NIS2 här i Sverige. Arbetet i utredningen om NIS2 och CER direktivet skall enligt regeringens direktiv presenteras senast 23 februari 2024, enligt direktiv 2023:30. Vi har även nyligen sett att Svenska Bankföreningen har gjort en framställan (2023/11/005) till regeringens utredning för att hemställa att verksamhetsområden som regleras under DORA (2022/2554) ej ska behöva regleras under NIS2 och CER direktivet.

Svenska Bankföreningens framställan visar på att utredningen ännu inte tagit ställning till en sådan central fråga, vilket medför att vi kan förvänta oss att utredningen kommer behöva sin fulla tid innan den presenterar sitt resultat. Utöver detta ryktas det även om att utredningen blir försenad och kommer kräva ytterligare tid, detta är dock inget som är bekräftat och vi får hoppas att utredningen blir klar på utsatt tid.

Det som kvarstår efter att utredningen är genomförd är regeringens och riksdagens arbete med att fastslå de ändringar som behövs i Svensk lag, vilket kan innebära förhandlingar och i slutändan förändringar i utredningens förslag.

Kan du vänta med NIS2?

Nej är det korta svaret, även om lagen i Sverige inte ännu är antagen finns det många möjligheter att förbereda sig inför NIS2. Ska man se krasst på andemeningen med NIS2 så handlar det om att entiteter skall kunna klara av leverans av kritiska funktioner, detta är något som bör vara naturligt i all verksamhet. I kommersiella verksamheter kan avbrott i leveranser, både kritiska och icke kritiska leveranser, leda till stora inkomstbortfall.

Det grundskydd som inom informations- och cybersäkerhet behövs är något som gagnar er även utan kraven från NIS2, har ni inte detta på plats är det god tid att börja detta arbete redan nu, oavsett om kraven kommer från NIS2 eller inte.

NIS2 – vad börjar vi med?

Första steget är att arbeta systematiskt med informations- och cybersäkerhet, här behöver du etablera policy, riktlinjer och styrande dokumentation. Etablering av detta blir ert Ledningssystem för informationssäkerhet (LIS) där fokus bör ligga på en riskbaserad prioritering av de åtgärder som behöver införas inom informations- och cybersäkerhet.

Det görs tydligt i NIS2 direktivet att grundkravet är ett riskbaserat arbetssätt, artikel 20 säger följande:

“Medlemsstaterna ska säkerställa att väsentliga och viktiga entiteters ledningsorgan godkänner de riskhanteringsåtgärder för cybersäkerhet som dessa entiteter vidtar för att följa artikel 21”

Här finner vi även tydlighet i att det riskerna skall hanteras på ledningsnivå för godkännande vad gäller åtgärder för att minska eller acceptera risker. Även om ledningen alltid bör ha full kännedom om risker är det inte historiskt så i alla organisationer, och även om ledningen har varit informerad sen tidigare om risker är det inte alltid att de varit med och beslutat om åtgärder på den nivå som förväntas behövas för NIS2. För de flertalet organisationer betyder det att ledningen behöver utöka sin kunskap inom området, vilket är lämpligt att genomföra i god tid innan oktober 2024.

NIS2 – vi har redan LIS är vi redo?

Ni är en god bit på väg, här är det dock viktigt att säkra att LIS är uppdaterat och efterlevs i organisationen. Om man aktivt inte arbetar med dessa frågor är risken stor att organisationen inte lever efter kraven i LIS och att ens LIS inte följer med utvecklingen i omvärlden och egna organisationen vad gäller eventuella uppdateringar som behöver genomföras.

Om LIS är väl etablerat, väl underhållet och efterlevs kommer vissa justeringar ändå behöva göras för att täcka alla krav i NIS2, exakt vilka ändringar styrs dels av er implementation av LIS men även av de exakta lagar som Sverige kommer implementera för NIS2.

Cegal och NIS2

Cegal´s konsulter inom informations- och cybersäkerhet kan stötta er i arbetet med att etablera LIS, antingen genom att ta ett helhetsansvar och driva arbetet med er, eller som stöd i specifika delar av etableringen av LIS.

Cegal´s hälsocheck av redan etablerat LIS ger er en extern bild av hur ert LIS mår, där kontroll görs av både LIS samt även organisationens efterlevnad för utvalda delar av LIS.